För andra gången under de senaste månaderna har en säkerhetsforskare upptäckt en sårbarhet i den mycket använda KeePass-lösenordshanteraren med öppen källkod.
Den här påverkar KeePass 2.X-versioner för Windows, Linux och macOS och ger angripare ett sätt att hämta ett måls huvudlösenord i klartext från en minnesdump – även när användarens arbetsyta är stängd.
Även om KeePass underhållare har utvecklat en fix för felet, kommer den inte att bli allmänt tillgänglig förrän version 2.54 släpps (troligen i början av juni). Under tiden spårade forskaren som upptäckte sårbarheten — som CVE-2023-32784 - har redan släppt ett proof-of-concept för det på GitHub.
"Ingen kodexekvering på målsystemet krävs, bara en minnesdump," sa säkerhetsforskaren "vdhoney" på GitHub. "Det spelar ingen roll var minnet kommer ifrån - kan vara processdumpen, växlingsfilen (pagefile.sys), vilolägesfilen (hiberfil.sys) eller RAM-dumpen för hela systemet."
En angripare kan hämta huvudlösenordet även om den lokala användaren har låst arbetsytan och även efter att KeePass inte längre körs, sa forskaren.
Vdhoney beskrev sårbarheten som en som endast en angripare med läsbehörighet till värdens filsystem eller RAM skulle kunna utnyttja. Ofta kräver det dock inte att en angripare har fysisk åtkomst till ett system. Fjärrangripare får rutinmässigt sådan åtkomst idag via sårbarhetsexploater, nätfiskeattacker, trojaner med fjärråtkomst och andra metoder.
"Om du inte förväntar dig att bli specifikt riktad mot någon sofistikerad, skulle jag hålla mig lugn," tillade forskaren.
Vdhoney sa att sårbarheten hade att göra med hur en KeyPass anpassad ruta för att ange lösenord som kallas "SecureTextBoxEx" behandlar användarinmatning. När användaren skriver ett lösenord finns det överblivna strängar som gör att en angripare kan återsätta lösenordet i klartext, sa forskaren. "Till exempel, när 'Lösenord' skrivs, kommer det att resultera i dessa överblivna strängar: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Patch i början av juni
I en diskussionstråd på SourceForge, KeePass-underhållaren Dominik Reichl erkände problemet och sa att han hade implementerat två förbättringar av lösenordshanteraren för att lösa problemet.
Förbättringarna kommer att inkluderas i nästa KeePass-version (2.54), tillsammans med andra säkerhetsrelaterade funktioner, sa Reichel. Han indikerade först att det skulle hända någon gång under de kommande två månaderna, men ändrade senare det beräknade leveransdatumet för den nya versionen till början av juni.
"För att förtydliga, "inom de kommande två månaderna" var menat som en övre gräns," sa Reichl. "En realistisk uppskattning för KeePass 2.54-utgåvan är förmodligen 'i början av juni' (dvs. 2-3 veckor), men jag kan inte garantera det."
Frågor om lösenordshanterarens säkerhet
För KeePass-användare är detta andra gången under de senaste månaderna som forskare har avslöjat ett säkerhetsproblem med programvaran. I februari, forskaren Alex Hernandez visade hur en angripare med skrivåtkomst till KeePass XML-konfigurationsfil skulle kunna redigera den på ett sätt som att hämta klartextlösenord från lösenordsdatabasen och exportera den tyst till en angriparkontrollerad server.
Även om sårbarheten tilldelades en formell identifierare (CVE-2023-24055), KeepPass själv bestred den beskrivningen och underhålls, lösenordshanteraren är inte utformad för att motstå attacker från någon som redan har en hög nivå av åtkomst på en lokal PC.
"Ingen lösenordshanterare är säker att använda när operativmiljön äventyras av en illvillig aktör," hade KeePass noterat då. "För de flesta användare är en standardinstallation av KeePass säker när den körs i en korrigerad, korrekt hanterad och ansvarsfullt använd Window-miljö."
Den nya KeyPass-sårbarheten kommer sannolikt att hålla diskussionerna kring lösenordshanterarens säkerhet vid liv ännu en tid. Under de senaste månaderna har det funnits flera incidenter som har belyst säkerhetsproblem relaterade till stora lösenordshanterartekniker. I december t.ex. LastPass avslöjade en incident där en hotaktör, med hjälp av inloggningsuppgifter från ett tidigare intrång på företaget, fick tillgång till kunddata som lagrats hos en tredjeparts molntjänstleverantör.
I januari, forskare på Google varnade för lösenordshanterare som Bitwarden, Dashlane och Safari Password Manager som automatiskt fyller i användaruppgifter utan att uppmanas till opålitliga sidor.
Hotaktörer har under tiden ökat attackerna mot lösenordshanterarprodukter, troligen som ett resultat av sådana problem.
I januari, Bitwarden och 1Password rapporterade observera betalda annonser i Googles sökresultat som ledde användare som öppnade annonserna till webbplatser för att ladda ner falska versioner av sina lösenordshanterare.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
- Källa: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords
- : har
- :är
- :inte
- :var
- $UPP
- 7
- a
- Able
- Om oss
- tillgång
- Accessed
- medgav
- aktörer
- lagt till
- adress
- annonser
- Efter
- mot
- alex
- tillåter
- längs
- redan
- an
- och
- vilken som helst
- ÄR
- runt
- AS
- delad
- At
- Attacker
- tillgänglig
- BE
- blir
- Börjar
- Bunden
- Box
- men
- by
- kallas
- KAN
- kan inte
- stängt
- cloud
- koda
- kommer
- företag
- Äventyras
- konfiguration
- kunde
- referenser
- beställnings
- kund
- konsument data
- datum
- Databas
- Datum
- Dagar
- December
- Standard
- leverans
- beskriven
- utformade
- utvecklade
- upptäckt
- diskussioner
- do
- gör
- dumpa
- e
- Tidig
- förbättringar
- in
- Hela
- Miljö
- uppskatta
- Även
- exempel
- utförande
- förvänta
- Exploit
- bedrifter
- export
- Funktioner
- Februari
- Fil
- Fast
- fel
- För
- formell
- från
- Få
- allmänhet
- GitHub
- ger
- Google Sök
- garanti
- hade
- hända
- Har
- he
- Hög
- Markerad
- värd
- Hur ser din drömresa ut
- Men
- HTTPS
- i
- identifierare
- if
- genomföras
- in
- ingår
- indikerade
- initialt
- ingång
- Installationen
- exempel
- in
- fråga
- problem
- IT
- sig
- Januari
- jpg
- juni
- bara
- Ha kvar
- senare
- Överbliven
- Nivå
- sannolikt
- linux
- lokal
- låst
- längre
- Mac OS
- större
- förvaltade
- chef
- chefer
- sätt
- Master
- Materia
- menas
- Samtidigt
- Minne
- metoder
- månader
- mer
- mest
- Nya
- Nästa
- NIST
- Nej
- noterade
- of
- Ofta
- on
- ONE
- endast
- öppet
- öppen källkod
- öppnade
- drift
- or
- Övriga
- betalas
- Lösenord
- Password Manager
- lösenord
- PC
- Nätfiske
- phishingattacker
- fysisk
- plato
- Platon Data Intelligence
- PlatonData
- föregående
- förmodligen
- Problem
- process
- processer
- Produkter
- ordentligt
- leverantör
- RAM
- Läsa
- realistisk
- senaste
- relaterad
- frigöra
- avlägsen
- fjärråtkomst
- Rapporterad
- kräver
- Obligatorisk
- forskaren
- forskare
- resultera
- Resultat
- rutinmässigt
- rinnande
- s
- Safari
- säker
- Nämnda
- Sök
- Andra
- säkerhet
- service
- Leverantör
- flera
- Områden
- Mjukvara
- några
- någon
- sofistikerade
- Källa
- specifikt
- lagras
- sådana
- byta
- SYS
- system
- Målet
- riktade
- Tekniken
- den där
- Smakämnen
- deras
- Där.
- Dessa
- tredje part
- detta
- hot
- tid
- till
- två
- typer
- avtäckt
- tills
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- version
- via
- sårbarhet
- var
- Sätt..
- veckor
- när
- VEM
- brett
- kommer
- fönster
- med
- inom
- utan
- Vann
- skulle
- skriva
- X
- XML
- Om er
- zephyrnet
